2.3. cn=encryption,cn=config
暗号化関連の属性は、cn=encryption,cn=config
エントリーに保存されます。cn=encryption,cn=config
エントリーは、nsslapdEncryptionConfig
オブジェクトクラスのインスタンスです。
2.3.1. allowWeakCipher
この属性は、弱い暗号を許可または拒否するかどうかを指定します。デフォルトは、nsSSL3Ciphers
パラメーターに設定した値により異なります。
暗号は、以下の場合に弱いとみなされます。
これらはエクスポート可能です。
エクスポートする暗号には、暗号名に
EXPORT
というラベルが付いています。たとえば、TLS_RSA_EXPORT_WITH_RC4_40_MD5
の場合は以下のようになります。この暗号は対称的であり、3DES アルゴリズムよりも弱いです。
対称暗号は、暗号化と復号化の両方に同じ暗号鍵を使用します。
- キーの長さは 128 ビットより短いです。
この属性への変更を反映するには、サーバーを再起動する必要があります。
エントリー DN | cn=encryption,cn=config |
有効な値 | on | off |
デフォルト値 |
|
構文 | DirectoryString |
例 | allowWeakCipher: on |
2.3.2. allowWeakDHParam
Directory Server にリンクするネットワークセキュリティーサービス (NSS) ライブラリーには、最低 2048 ビット Diffie-Hellman(DH) パラメーターが必要です。ただし、Java 1.6 や 1.7 クライアントなどの Directory Server に接続する一部のクライアントは、1024 ビットの DH パラメーターのみをサポートします。allowWeakDHParam
パラメーターを使用すると、Directory Server で弱い 1024 ビットの DH パラメーターのサポートを有効にできます。
この属性への変更を反映するには、サーバーを再起動する必要があります。
パラメーター | 説明 |
---|---|
エントリー DN | cn=encryption,cn=config |
有効な値 | on | off |
デフォルト値 | off |
構文 | DirectoryString |
例 | allowWeakDHParam: off |
2.3.3. nsSSL3Ciphers
この属性は、暗号化された通信中に Directory Server が使用する TLS 暗号化暗号のセットを指定します。
このパラメーターに設定する値は、allowWeakCipher
パラメーターのデフォルト値に影響します。詳細は、「allowWeakCipher」 を参照してください。
パラメーター | 説明 |
---|---|
エントリー DN | cn=encryption,cn=config |
有効な値 | NSS 対応の暗号のコンマ区切りリスト。さらに、以下のパラメーターを使用することもできます。 * デフォルト - 弱い暗号以外の NSS でアドバタイズされるデフォルトの暗号を有効にします。詳細は List supported cipher suites for SSL connections を参照してください。
* +all: すべての暗号が有効になります。 * -all: すべての暗号が無効になります。 |
デフォルト値 | default |
構文 | DirectoryString
無効にするにはプラス記号 (
すべての暗号を有効にするには (具体的に呼び出す必要がある |
例 | nsSSL3Ciphers: +TLS_RSA_AES_128_SHA,+TLS_RSA_AES_256_SHA,+TLS_RSA_WITH_AES_128_GCM_SHA256,-RSA_NULL_SHA |
2.3.4. nsSSLActivation
この属性は、TLS 暗号ファミリーが特定のセキュリティーモジュールに対して有効になっているかどうかを示します。
エントリー DN | cn=encryptionType,cn=encryption,cn=config |
有効な値 | on | off |
デフォルト値 | |
構文 | DirectoryString |
例 | nsSSLActivation: on |
2.3.5. nsSSLClientAuth
この属性は、Directory Server がクライアント認証を実施する方法を示します。次の値を取ります。
-
off
- Directory Server ではクライアント認証は使用できません。 -
allowed
(デフォルト)- Directory Server でクライアント認証は使用できますが、必須ではありません。 -
required
: すべてのクライアントはクライアント認証を使用する必要があります。
この属性の変更を反映するには、サーバーを再起動する必要があります。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | off | allowed | required |
デフォルト値 | allowed |
構文 | DirectoryString |
例 | nsSSLClientAuth: allowed |
2.3.6. nsSSLEnabledCiphers
Directory Server は、複数値の nsSSLEnabledCiphers
属性を自動的に生成します。属性は読み取り専用で、現在使用している Directory Server 暗号を表示します。このリストは、nsSSL3Ciphers
属性に設定したものとは異なる場合があります。たとえば、nsSSL3Ciphers
属性に弱い暗号を設定し、allowWeakCipher
が無効な場合には、nsSSLEnabledCiphers
属性は、弱い暗号をリスト表示せず、Directory Server ではその暗号を使用しません。
パラメーター | 説明 |
---|---|
エントリー DN | cn=config |
有効な値 | この属性の値は自動生成され、読み取り専用です。 |
デフォルト値 | |
構文 | DirectoryString |
例 | nsSSLClientAuth: TLS_RSA_WITH_AES_256_CBC_SHA::AES::SHA1::256 |
2.3.7. nsSSLPersonalitySSL
この属性には、SSL に使用する証明書名が含まれます。
エントリー DN | cn=encryption,cn=config |
有効な値 | 証明書のニックネーム |
デフォルト値 | |
構文 | DirectoryString |
以下に例を示します。 | nsSSLPersonalitySSL: Server-Cert |
2.3.8. nsSSLSessionTimeout
この属性は、TLS 接続の有効期間を設定します。最小タイムアウト値は 5
秒です。小さい値を設定すると、自動的に 5
秒に置き換えられます。以下の有効な範囲内の最大値より大きい値は、範囲内の最大値に置き換えられます。
この属性の変更を反映するには、サーバーを再起動する必要があります。
パラメーター | 説明 |
---|---|
エントリー DN | cn=encryption,cn=config |
Valid Range | 5 秒から 24 時間 |
デフォルト値 | 0(これは、上記の有効な範囲の最大値を使用することを意味します)。 |
構文 | 整数 |
例 | nsSSLSessionTimeout: 5 |
2.3.9. nsSSLSupportedCiphers
この属性には、サーバーでサポートされる暗号が含まれます。
エントリー DN | cn=encryption,cn=config |
有効な値 | 特定のファミリー、暗号、および強度の文字列 |
デフォルト値 | |
構文 | DirectoryString |
以下に例を示します。 | nsSSLSupportedCiphers: TLS_RSA_WITH_AES_256_CBC_SHA::AES::SHA1::256 |
2.3.10. nsSSLToken
この属性には、サーバーによって使用されるトークン (セキュリティーモジュール) の名前が含まれます。
エントリー DN | cn=encryption,cn=config |
有効な値 | モジュール名 |
デフォルト値 | |
構文 | DirectoryString |
以下に例を示します。 | nsSSLToken: 内部 (ソフトウェア) |
2.3.11. nsTLS1
TLS バージョン 1 を有効にします。TLS で使用される暗号は、nsSSL3Ciphers
属性で定義されます。
sslVersionMin
パラメーターおよび sslVersionMax
パラメーターが nsTLS1
と組み合わせて設定されている場合、Directory Server はこれらのパラメーターから最も安全な設定を選択します。
この属性の変更を反映するには、サーバーを再起動する必要があります。
パラメーター | 説明 |
---|---|
エントリー DN | cn=encryption,cn=config |
有効な値 | on | off |
デフォルト値 | on |
構文 | DirectoryString |
例 | nsTLS1: on |
2.3.12. nsTLSAllowClientRenegotiation
Directory Server は、SSL_ENABLE_RENEGOTIATION
オプションを使用した SSL_OptionSet()
ネットワークセキュリティーサービス (NSS) 機能を使用して、NSS の TLS 再ネゴシエーション動作を制御します。
nsTLSAllowClientRenegotiation
属性は、Directory Server が SSL_ENABLE_RENEGOTIATION
オプションに渡す値を制御します。
-
nsTLSAllowClientRenegotiation
に指定すると、Directory Server はSSL_RENEGOTIATE_REQUIRES_XTN
をSSL_ENABLE_RENEGOTIATION
オプションに渡します。この場合、NSS は RFC 5746 を使用したセキュアな再ネゴシエーション試行を許可します。 -
nsTLSAllowClientRenegotiation: off
に指定すると、Directory Server はSSL_RENEGOTIATE_NEVER
をSSL_ENABLE_RENEGOTIATION
オプションに渡します。この場合、NSS は、安全なものでもすべての再ネゴシエーションの試行を拒否します。
NSS TLS 再ネゴシエーション動作の詳細は、Is Red Hat affected by TLS renegotiation MITM attacks (CVE-2009-3555)?の記事のThe RFC 5746 implementation in NSS (Network Security Services)セクションを参照してください。
この属性への変更を反映するには、サービスを再起動する必要があります。
パラメーター | 説明 |
---|---|
エントリー DN | cn=encryption,cn=config |
有効な値 | on | off |
デフォルト値 | on |
構文 | DirectoryString |
例 | nsTLSAllowClientRenegotiation: on |
2.3.13. sslVersionMax
使用する TLS プロトコルの最大数を設定します。デフォルトでは、この値はシステムにインストールされている NSS ライブラリーで利用可能な最新のプロトコルバージョンに設定されます。
この属性の変更を反映するには、サーバーを再起動する必要があります。
sslVersionMin
パラメーターおよび sslVersionMax
パラメーターが nsTLS1
と組み合わせて設定されている場合、Directory Server はこれらのパラメーターから最も安全な設定を選択します。
エントリー DN | cn=encryption,cn=config |
有効な値 |
|
デフォルト値 | システムにインストールされている NSS ライブラリーで利用可能な最新のプロトコルバージョン |
構文 | DirectoryString |
以下に例を示します。 | sslVersionMax: TLS1.2 |
2.3.14. sslVersionMin
sslVersionMin
パラメーターは、Directory Server が使用する TLS プロトコルの最小バージョンを設定します。ただし、デフォルトでは、Directory Server は、システム全体の暗号化ポリシーに基づいてこのパラメーターを自動的に設定します。/etc/crypto-policies/config
ファイルでポリシープロファイルを以下のように設定します。
-
DEFAULT
、FUTURE
、またはFIPS
、Directory Server はsslVersionMin
をTLS1.2
に設定します。 -
LEGACY
、Directory Server はsslVersionMin
をTLS1.0
に設定します。
または、sslVersionMin
は、crypto ポリシーで定義されている値よりも高い値に手動で設定できます。
この属性への変更を反映するには、サービスを再起動する必要があります。
エントリー DN | cn=encryption,cn=config |
有効な値 |
|
デフォルト値 | 設定したシステム全体の暗号化ポリシープロファイルによって異なります。 |
構文 | DirectoryString |
以下に例を示します。 | sslVersionMin: TLS1.2 |